Oracle网银交易监控平台典型案例v5

网银交易实时监控案例分享

——美国富国银行

Oracle

AdaptiveAccessManagement解决方案OracleFusionSecurity2

希望改善原有在线安全监控平台的设计，给用户提供更安全的服务；为银行提供实时的交易监控和风险分析

需要达到联邦金融机构检查理事会(FFIEC)的指示要求

部署了全面的网银交易实时风险分析；

系统可以监测出用户是否从其常用地点进行网银交易，监测是否有人从异常设备和地点进行非法登录，交易；实现了99%的在线交易安全保证：让网银用户最大程度免于受到钓鱼网站、键盘精灵、二代钓鱼等的账户攻击，保护客户资金安全，大大提高客户的满意度；投资回报Oracle成功案例–美国富国银行

实时在线风险分析

业务挑战项目规模：2,500万网银用户;运行于64CPU硬件平台。每小时28万笔交易富国银行案例分享项目背景美国富国银行简介

富国银行是美国唯一一家获得AAA评级的银行，建于1852年，名称一直未变；按商业银行资本市值，全球排名第四。富国银行是一家提供全能服务的银行，业务范围包括社区银行、投资和保险、抵押贷款、专门借款、公司贷款、个人贷款和房地产贷款等。富国银行存款的市场份额在美国的17个州都名列前茅，是美国第一的抵押贷款发放者，第一的小企业贷款发放者，拥有全美第一的网上银行服务体系。是美国唯一一家被穆迪评级机构评为AAA级别的银行。可以不夸张地说，富国银行是美国最好的银行从1852年起，富国银行已经成为美国西部信贷服务的标志性企业之一。面临的挑战合规性要求

美国联邦金融机构检验委员会(FFIEC)要求所有在美国营业的银行必须部署多因素认证以及反钓鱼措施。这一规定迫使富国银行和其它美国银行改进它们在线渠道的安全解决方案。而富国银行也定期的对自己的安全性进行严格的内部审计。

风险/遭遇的攻击富国银行的在线金融渠道经常受到以大型金融机构为目标的攻击手段，包括钓鱼，域欺骗，恶意软件（键盘记录器，maninthebrowser等），中间人攻击，字典攻击，密码窃取及其它各种人为手段的攻击/欺骗。传统监控手段的局限性

在实施OAAM之前，富国银行曾经使用初级的批处理式分析工具以及手动工序来鉴别潜在的欺骗。而在实施OAAM之前，没有任何实时的欺诈探测和封锁机制。由于实施了OAAM，富国银行大幅度的减少了遭遇欺诈的案例，同时也通过削减手动工序节省了大量的时间和人力成本。富国银行案例分享方案描述方案选择

最终入围的是RSA和Oracle。甄选程序经过了大约九个月。OAAM以其部署和集成的灵活性，高度可配置的安全策略，通俗易懂的风险评估规则及友好的基于风险的认证机制最终胜出。由于Oracle并不是一个小型提供商，我们可以为客户提供一整套由同一个公司开发和测试过的安全解决方案。这一优势为客户提供了更好的支持，更强的稳定性，更统一的技术和更优秀的互操作性,而这些优势是通过简单的拼凑多家厂商的产品所难以比拟的。即使客户目前只打算采购解决方案中某个单一的组件，对于一个大型企业来说，考虑到节省下的时间和金钱，一个易于扩展的解决方案也是非常重要的。此外OAAM是一个同时受到分析师和我们自己的客户好评的产品。方案简介用户在哪(地理位置)用户在做什么

(行为模式)用户拥有什么(设备指纹)用户知道什么(认证面板，密码，预留问题质询)用户机构管理员客户化应用网银内部业务应用UserLocationDevice使用的功能模块OracleAdaptiveRiskManagerOAAMOfflineAnalysisOAAMReportingOracleAdaptiveStrongAuthenticator提供用户自定义的动态虚拟键盘、预留问题质询等强认证手段基于策略的风险管理模型，对用户行为进行全方位的分析和审计离线风险分析功能，独立于实时在线监控平台，用于对历史数据进行批量分析处理及新规则调试辅助强大的报表功能，对用户行为数据及风险情况进行汇总输出，并可对数据进行深入下钻查询逻辑架构高可用部署示意富国银行采用Native集成方式，通过API与OAAM进行交互由于需要达到实时监控和干预高风险交易，富国银行采用Native集成方式，通过以下集成点将数据传送至OAAM监控平台，在数据获取方面未使用探针方式：登录页面——通过在网银系统登录页面嵌入OAAMFlash对象，获取用户非隐私的设备信息，用于判断该设备是否为常用设备或是否多人共用此设备等风险情况；用户信息维护页面——通过API将用户对个人信息的维护及修改情况传送至OAAM；交易页面——通过API将用户的交易数据传送至OAAM；GIS数据——通过OAAM的导入功能将第三方地理信息csv数据文件导入监控平台，用于判断用户的登录位置；第三方数据库——通过OAAM可实时引用联邦金融机构检查理事会(FFIEC)等部门发布的黑名单数据库，亦可连接网银开户用户数据库获取开户信息。富国银行案例分享界面截屏OAAMatWellsFargo

RealWorldUse–EmailfromWellsFargo-Step1OAAMatWellsFargo

RealWorldUse–MyRegistration-Step1chris.fox**********OAAMatWellsFargoExample

RealWorldUse–MyRegistration-Step2Real-TimeIdentityTheft+FraudPreventionUsersMerchantsAdminsWhatAUserKnows

(Pin,Password,ChallengeQuestions)CustomApplicationsPortalsBusinessApplicationsUserLocationDeviceOAAMatWellsFargoExample

RealWorldUse–MyRegistration-Step3Real-TimeIdentityTheft+FraudPreventionWhatAUserHas

(DeviceFingerprinting)WhatAUserKnows

(Pin,Password,ChallengeQuestions)UsersMerchantsAdminsCustomApplicationsPortalsBusinessApplicationsUserLocationDeviceDeviceFingerprinting–UndertheCovers

UsedforRiskScoring,ForensicsandReportingReal-TimeIdentityTheft+FraudPreventionWhataUserDoes

(BehaviorPattern+Profiling)WhatAUserHas

(DeviceFingerprinting)WhatAUserKnows

(Pin,Password,ChallengeQuestions)UsersMerchantsAdminsCustomApplicationsPortalsBusinessApplicationsUserLocationDeviceAuto-LearnsPatternsandBehaviorLoginTimesUserGroupsDevicesCitiesStatesCountriesPatternsConfigurableActions+/-Usergroup+/-IPgroup+/-Citygroup+/-Stategroup+/-Countrygroup+/-DevicegroupDevicesCitiesStatesCountriesUserProfileIs/notmember%membership:UservshimselfUservsothersRulesDynamicallyEvaluate&ProfileActivityReal-TimeIdentityTheft+FraudPreventionWhereaUserIs

(Geo-Location)WhataUserDoes

(BehaviorPattern+Profiling)WhatAUserHas

(DeviceFingerprinting)WhatAUserKnows

(Pin,Password,ChallengeQuestions)UsersMerchantsAdminsCustomApplicationsPortalsBusinessApplicationsUserLocationDeviceReal-TimeIdentityTheft+FraudPrevention

ComputedRiskScoreUsersMerchantsAdminsCustomApplicationsPortalsBusinessApplications

Allow

BlockChallenge

AlertOAAMatWellsFargoExample

RealWorldUse–MyWellsHomePage$XX,XXX.XXSessionDetail+RiskScoring–UndertheCovers

UserFriendlyUIwithPredictableOutcomes27“ClearBox”RulesandScoring

#1Question…Howdiditgetthatfinalscore?28“ClearBox”RulesandScoring

#1Question…Howdiditgetthatfinalscore?29“ClearBox”RulesandScoring

#1Question…Howdiditgetthatfinalscore?In-SessionRiskEvaluation-Transfers

Knowledge-BasedChallenge

UponTransferwithDifferentDeviceand/orCountry32“In-Session”Real-TimeSecurity

AnyApplication…AnyVertical…AnyTransaction!SessionPreAuthenticationRuntimePostAuthenticationRuntimeEnterUserIDEnterPasswordChangePersonalInfoRuntimeTransferFundsRuntimeCheckBalanceCheckMessagesAdaptiveReportingEngine

OOTB,AdjustableReportswithFreeOracleBIPublisherScheduleandBurstReportsPublishReportsforAuditEdit/DesignReportsusingOfficetoolsandWebPre-BuiltIdentityReports

OracleBIPublisherPullDatafromSource1XMLEDIEFTPDFRTFHTMLExcelOutputtoDesiredFormats3SendtoDestinations4E-mailPrinterFaxStorageBusinessUserCreates/EditsLayoutUsingCommonOfficeandAdobeTools2OfficeWebAdobeOracleAdaptiveAccessOracleAccessMgmtOracleIdentityMgmtUserLocationDevice富国银行案例分享实施方法OAAM实施方法论实时监控、数据收集报警、报告不改变用户体验积累用户行为数据采用基本规则确定业务规则少量干涉风险交易形成用户行为模型个性化风险监控对所有高风险交易进行处理扩大渠道范围系统扩容规则改进为其它系统提供服务业务重点技术重点实时风险监控平台实施步骤方法论第一阶段第二阶段第三阶段第四阶段五六6个月3个月6个月X个月平台搭建风险平台API集成集成其它渠道性能调优基本规则配置用户行为模型启动规则模型调整报告生成强认证模块启动集成其它应用数据源接入阶段成果认证

多因素认证(OTP,CA/PKI)预防Fraudsters

基本安全风险模型

行为安全风险模型

基本仪表板&报告

有关交易报告结合运维&客户服务

自动化结合富国银行实施路线与现有平台及业务流程关系OAAM与一个全新定制开发的互联网金融应用程序及其基础设施进行了本地集成，因此并不存在与现有系统冲突的问题。同样，业务和管理流程也是为这个新的平台重新开发的。总而言之，OAAM的用户将它与他们所使用的金融应用程序进行了本地集成。这一手段提供了最佳的性能和灵活性。由于我们为本地集成所提供的API是相对轻量级的并且非常易于实现，所以它对性能的影响被控制在了最小的范围。为了适应自动化的欺诈侦测和在某些配置下极少量的手工调查步骤，我们必须对业务流程和管理机制进行扩展。通常情况下，比起离线或者手动工序下的风险分析，OAAM用户可以明显的减少在管理风险方面的人力需求，并且获得极大的效率提升。OAAM需要占用专有的资源(容器和数据库)，因此它不会对其它平台造成影响。富国银行案例分享后期维护审查和维护周期类似富国银行这样的OAAM客户通常会定期审查OAAM的产出，以确定相关策略仍然在按预期的效果运作。这样的审查通常以定期报告的形式进行，审查结果会包含被拒绝的事务总数，预留问题质询总数，以及各种类型警报的总数等等。一旦业务团队和安全团队在相关的阈值上达成一致，安全策略本身就很少需要修改了。此外，由于OAAM会在对不断变化的用户行为进行分析的基础上进行自我调整，它能够在没有人工干预的情况下对什么是正常行为，什么是可疑行为进行精确的鉴别。如果安全团队想要通过额外的规则和分析方法来改善风险分析的效果，那么他们可以通过图形化用户界面方便的进行改动，并且在一个离线的测试环境中基于真实生产数据安全的对这些改动进行测试。同样的，我们也能找到一些第三方工具，用来生成“如果...，会怎么样”的测试场景来对各种假设进行测试。

除了软件补丁和版本升级，另一个主要的维护工作就是一些通过现成的脚本对数据库进行清理和数据保护的最佳实践。像富国银行这样的大型客户会在生产环境中保留六个月的数据，以进行基于历史数据的风险评估。采用OAAM离线模式（Offline）进行规则验证DBLoaderOAAM监控平台OAAM离线模式设计目的OAAM提供离线风险分析工具，可针对已有的数据进行离线运算分析。OAAM离线模式可满足以下场景：作为分析和测试工具——创建和验证新的规则，在将新规则导入生产系统之前使用生产系统的数据作为测试数据，进行规则验证；作为独立的安全监管系统——离线分析、检测高风险行为并进行预警；作为补充分析工具——基于真实用户数据进行规则调优，不影响用户的实时登录和交易。OAAM离线模式数据来源用户的登录和交易数据会被载入OAAMOffline数据库，数据可从以下来源进行获取：直接从OAAMOnline数据库中获取；从临时数据库中获取；从网银数据库或远程第三方数据库中获取；从文件中获取，如日志文件。使用OAAM报表查看规则触发情况通过OAAMOffline模式，启用新规则针对已有的真实用户数据进行离线风险分析，并可通过开箱即用的报表功能对分析结果进行总览查询，查看新规则被触发的总次数，并可深入下钻查询，查看每次被触发的具体情况。若触发次数过多，如占到25%以上，则可能规则阀值过低，可根据实际情况进行调整。团队建设及业务流程梳理富国银行设立了一个7~8人的团队，负责OAAM监控平台的运维及业务处理。团队按职责划分角色的标准如下：高级管理团队-监控执行官-风险主管-安全总架构师核心团队-规则工程师-规则设计师-风险分析师-业务分析师-测试人员-培训师系统扩展团队-数据库管理员/系统管理员-运维支持人员-HelpDesk和/或客户关怀-业务代表

OAAM的客户通常会选择使用他们自己的安全团队来监控和使用OAAM。安全团队可以清楚地看到OAAM在评估哪些活动，以及准确的观测它们的性能，评估报告和最终产出如何。OAAM包含了强大易用的法证链接分析，报告及记录的功能，以方便事故调查员的工作。团队建设及业务流程梳理

团队按上述角色进行职责划分，在项目的不同时期，各角色的比重会按情形调整，一人可兼任多个角色，部分角色亦可在一定时期采用兼职人员。其中：业务分析师作为业务部门和监控部门的桥梁，负责收集整理业务需求，撰写需求说明文档，供规则设计师参考。规则设计师负责风险监管规则的设计和业务流程设计，通过团队内的接口角色与其它部门（短信平台、呼叫中心等）进行沟通。HelpDesk/客户关怀人员负责监管用户服务请求，作为解决用户使用网银问题的补充点，提供更高一级的支持和建议，确保每一请求的完结，并针对典型的触犯规则的用户进行回访，考察用户体验并记录反馈，上报核心团队进行分析，以此进行规则调优或制定新规则或保持现状。风险分析师依靠报表工具对周期内的用户行为风险情况进行数据挖掘分析，将分析结果上报高级管理团队，高级管理团队以此为依据之一考虑风险监控在战略上的调整。培训师负责培训业务人员及呼叫中心相关职责及技能。富国银行案例分享投资回报投资回报分析通过实施OAAM风险监控平台，可极大为银行用户节约人工成本并创造附加价值，以富国银行为例，其ROI分析可关注以下几个方面：用户安全保障加强后，投诉电话减少通过自动审计节约人工成本用户满意度提升带来的新用户数量增长及老用户流失率下降在防范欺诈风险方面减少了大量时间投入对用户行为的深入理解为网银改进、CRM及其它产品开发提供了有力信息支持减少用户因在线欺诈引起的经济损失极大提高品牌影响力……

通过代入具体数据（如用户数和单位人工成本等）进行计算，OAAM可在一年内实现100%的投资回报，用户称赞“OAAMpayforitself”。

进一步了解OAAM详细ROI分析报告可参考：/us/products/middleware/identity-management/idc-adaptive-access-173354.pdf其他案例分享OAAM客户FinancialServicesPublicSectorEducationeCommerceHealthcareTelecomHiTech50需要处理高速增长的跨渠道的安全漏洞：包括网银、手机银行，ATM，POS等；并需要经常调整各渠道的风险规则需要构建统一风险监控平台来保护和监测所有电子渠道；

需要满足数据安全和隐私控制的合规要求；

新的网银监控平台基于原有的渠道支付规则，将银行安全策略融入其中，实现了多渠道的银行业务风险监控管理；节省了80%的安全防范成本，大大提高了银行声望；投资回报业务挑战规模：管理分布于7个国家的40万网银用户;

客户反馈：节省80%由于网银安全风险带来的各种成本和损失；Oracle成功案例–EFGEurobank

保护多渠道银行业务51

除了对网银交易的风险监控和分析以外，还需要在线实时地风险控制防御平台；

需要对多渠道银行交易系统风险进行监控，包括银行交易，信贷系统，支付网关等系统。业务部门要求风险监控平台不对现有用户正常操作产生干扰或影响用户体验。把银行业务监控平台扩展到多个业务部门，多个国家，使得获得潜在的巨量客户群（10亿级用户）成为可能。采用开放技术架构，部署了多级的主动型，实施风险防范，监测控制系统。同时提供了多因素强认证机制。方案在不影响现有银行业务使用和性能的前提下，帮在线用户避免风险欺诈，增加客户对电子银行业务交易的信息和使用率。业务挑战规模：作为印度第二大银行，管理2千万网银用户;

客户反馈：快速系统集成能力，满足了电子渠道业务飞速发展对交易安全的要求。投资回报Oracle成功案例–印度ICICIBank

多渠道银行业务监控平台ICICIFrandManagementSystem

7-Feb-2009GOACxOForumChannelsFraudPreventionE-CommerceTransaction(E-COM)Real-timeintegrationwithpaymentgatewayforriskscoringPointofSales(POS)Nearreal-timeintegrationwithswitchInternetBanking(I-Banking)Real-timeintegrationforauthenticationandriskscoringInternallyOriginatedTransaction(Internal)OfflineinterfacewithcoresystemsforfraudpatterndetectionLoansandCreditCardSystem(Credit)Onlineinterfaceforpatterndetection&riskscoringCaseStudy–ICICIBank

Real-timeMulti-ChannelFraudPreventionPlatformOAAMImplementationMethodologyInitiationAssessmentCollectionEnforcementEnhancementPhase1.1NochangetotheuserProfilingReviewCommunicationPhase1.2OptionalRegistration“Launch”CommunicationPhase1.3RequiredRegistrationSecurity&ControlsPhase2+InSession(TransactionbasedPolicy)InBand